Известный специалист Брюс Шнайер говорит, что постоянно получает кучу писем от людей, которые хотят стать экспертами по компьютерной безопасности, но не знают, с чего начать. На какие курсы записаться и в какой университет поступать, спрашивают они.
Брюс Шнайер объясняет, что в информационной безопасности есть много разных направлений, и даже не обязательно изучать программирование, чтобы стать экспертом в определённой сфере. Но в целом, для всех направлений действуют три основных совета:
• Учиться. Процесс учёбы может принимать разные формы. Это могут быть традиционные классы или в университете, или на обучающих конференциях, таких как SANS или Offensive Security. Брюс Шнайер даёт список материалов для самостоятельного изучения: 1, 2, 3, 4, 5, а также список книг для начала: 1, 2, 3, 4, 5, 6, 7, 8, 9. Он также рекомендует изучать блоги на seclists.org. Эти ресурсы помогают взглянуть на информационную безопасность с другой стороны, то есть раскрывают разные аспекты. Брюс Шнайер также рекомендует не ограничиваться одними только компьютерами, а изучать также гуманитарные науки, как экономика, психология и социология.
• Действовать. Компьютерная безопасность по своей природе — практическое мастерство, поэтому требует практики. Это значит, что нужно применять в реальности приобретённые знания для конфигурации систем безопасности, проектирования новых систем и — да — взлома существующих систем. Вот почему многие курсы включают в себя обширные практические материалы, они необходимы для обучения.
• Показывать. Не важно, что вы знаете и умеете, если не продемонстрируете это тем людям, которые могут нанять вас на работу. Дело не только в демонстрации во время собеседования, вы должны проявить себя в тематических списках рассылки и в комментариях в блогах. Вы можете записывать свой собственный подкаст или вести блог. Можно организовать семинары и выступать на местных встречах, можно писать работы для тематических конференций, книги.
Брюс Шнайер также рекомендует получать сертификаты, с помощью которых можно продемонстрировать свои знания потенциальному работодателю.
Изучение компьютерной безопасности похоже на изучение любой другой предметной области, но здесь нужен определённый склад ума, который является ключевым условием для достижения успеха. Этот склад ума не типичен для обычного человека и не является естественным для инженеров, говорит Шнайер. Если инженер думает о том, как сделать рабочую конструкцию, специалист по информационной безопасности думает, за счёт чего она ломается. Другими словами, специалист должен думать как злоумышленник, как преступник. Если вы не способны думать в таком ключе, то не сможете заметить большинство проблем в безопасности систем. Дизайну вашей системы будут доверять только в том случае, если вы сделали себе имя, взламывая чужие системы.
